一种网络服务安全管理方法及装置的制造方法
【技术领域】
[0001]本发明涉及Web Service管理技术,尤其涉及一种网络服务安全管理方法及装置。
【背景技术】
[0002]目前Web服务广泛应用于各软件应用中,如果没有对其使用进行管控,就有可能受到攻击影响系统安全。现有技术中Web服务安全的控制管理方法,大都是使用服务器安全策略拦截或者是直接单独使用账号密码的模式,无法针对不同用户调用不同的接口方法进行单独授权定义,灵活性较差,某些情况下和Web服务接口耦合性较大,增加Web接口本身的开发量,不利于接口扩展。
【发明内容】
[0003]为此,需要提供一种网络服务安全管理方法,解决现有网络服务不够便捷和安全的问题。
[0004]为实现上述目的,发明人提供了一种网络服务安全管理方法,包括如下步骤:接收接口调用请求,从所述接口调用请求中获取访问账号信息和签名串信息;
[0005]判断获取到的访问账号信息与预设的访问账号信息是否匹配,不匹配则判定所述接口调用请求为非法访问请求,匹配则判断获取到的签名串信息是否验证成功,验证不成功则判定所述接口调用请求为非法访问请求,验证成功则调用网络服务接口,并将访问记录添加到正常访问调用日志。
[0006]进一步地,还包括预配置流程,所述预配置流程包括步骤:建立访问账号信息,所述账号信息包括访问账号、访问密码;对访问账号进行授权,所述授权包括对访问账号配置访问IP或到期时间参数。
[0007]具体地,在步骤“调用网络服务接口 ”前还包括步骤:
[0008]验证访问账号权限,具体包括:判断访问账号是否被授权。
[0009]进一步地,在步骤“调用网络服务接口 ”后还包括步骤:实时监控动态参数并对所述动态参数进行动态验证,若超过预设的动态参数阈值则拦截网络服务接口调用请求。
[0010]具体地,所述动态参数包括最大访问量、最大访问频率、调用接口次数或连接失败次数;所述预设动态参数阈值的方法是通过统计汇总后计算确定或通过人工设定。
[0011]—种网络服务安全管理装置,包括接收模块、获取模块、判断模块、调用模块和记录添加模块;
[0012]所述接收模块用于接收接口调用请求;
[0013]所述获取模块用于从所述接口调用请求中获取访问账号信息和签名串信息;
[0014]所述判断模块用于判断获取到的访问账号信息与预设的访问账号信息是否匹配,不匹配则判定所述接口调用请求为非法访问请求;匹配则判断获取到的签名串信息是否验证成功,验证不成功则判定所述接口调用请求为非法访问请求,验证成功则使能调用模块和记录添加模块;
[0015]所述调用模块用于调用网络服务接口 ;所述记录添加模块用于将访问记录添加到正常访问调用日志。
[0016]进一步地,还包括预配置模块,所述预配置模块包括账号建立子模块、授权子模块;
[0017]所述账号建立子模块用于建立访问账号信息,所述账号信息包括访问账号、访问密码;
[0018]所述授权子模块用于对访问账号进行授权,所述授权包括对访问账号配置访问IP或到期时间参数。
[0019]具体地,还包括验证模块;
[0020]所述验证模块用于在步骤“调用网络服务接口 ”前验证访问账号权限,具体包括:判断访问账号是否被授权。
[0021 ] 进一步地,还包括动态监控模块;
[0022]所述动态监控模块用于在步骤“调用网络服务接口 ”后实时监控动态参数并对所述动态参数进行动态验证,还用于在超过预设的动态参数阈值则拦截网络服务接口调用请求。
[0023]具体地,所述动态参数包括最大访问量、最大访问频率、调用接口次数或连接失败次数;所述装置还包括阈值预设模块,所述阈值预设模块用于通过统计汇总后计算确定预设阈值或通过接收阈值输入信息,设定预设阈值。
[0024]区别于现有技术,上述技术方案通过对不同账号独立接收接口调用请求,并增加实时监控模块,提高了网络服务管理的便捷性与安全性。
【附图说明】
[0025]图1为本发明【具体实施方式】所述网络服务安全管理方法流程图;
[0026]图2为本发明【具体实施方式】所述网络服务安全管理装置模块图。
[0027]附图标记说明:
[0028]200、接收模块;
[0029]202、获取模块;
[0030]204、判断模块;
[0031]206、调用模块;
[0032]207、记录添加模块;
[0033]208、预配置模块;
[0034]2081、账号建立子模块;
[0035]2082、授权子模块;
[0036]210、验证模块;
[0037]212、动态监控模块;
[0038]214、阈值预设模块。
【具体实施方式】
[0039]为详细说明技术方案的技术内容、构造特征、所实现目的及效果,以下结合具体实施例并配合附图详予说明。
[0040]请参阅图1,为本发明一种网络服务安全管理方法,可以应用于图2所示的网络服务安全管理装置中,包括如下步骤:
[0041]S104:接收接口调用请求,从所述接口调用请求中获取访问账号信息和签名串信息;
[0042]S106判断获取到的访问账号信息与预设的访问账号信息是否匹配,不匹配则判定所述接口调用请求为非法访问请求,匹配则进行步骤S108判断获取到的签名串信息是否验证成功,验证不成功则判定所述接口调用请求为非法访问请求,验证成功则进行步骤S112调用网络服务接口,并将访问记录添加到正常访问调用日志。
[0043]在某些具体的实施例中,接口调用请求可以由需要调用接口的客户端发送,客户端使用预设的账号、密码和加密keyValue后,在调用请求文件的soap头中组装账号以及生成Guid动态串(全局唯一标识符,是一种由算法生成的二进制长度为128位的数字标识符,生成该串的目的是为了保证每次请求的加密串都不相同,不容易被截取破解),然后按照约定的规则进行签名,生成Md5 (计算机安全领域广泛使用的一种散列函数三算法)签名串。生成签名串的目的是用来提供给后台验证用户请求的合法性,完成消息组装后客户端将向服务端发送Web服务接口调用请求。在接收到接口调用请求时将会对所述请求进行自动拦截,分析请求的数据包,并获取soap头中的访问账号、访问密码、请求方法、签名串信息,其中访问账号与访问密码属于上述访问账号信息。
[0044]在某些实施例中,继续进行步骤S106,该步骤的主要目的是验证客户端的调用用户是否存在,具体为:服务端判断提取到的账号到访问账号信息数据库进行匹配,如果不匹配或不存在访问账号信息,则为无效账号,判定为非法访问请求,将会拒绝其访问,返回错误信息,并记录相关日志。匹配成功则进行步骤S108,该步骤的目的是验证客户端发来的签名串是否合法,防止伪造。具体为:服务端根据消息提取步骤中获取的客户端请求信息,根据当前请求方法,从获取后台配置的keyvalue值,并按照约定的规则生成签名串和接口调用请求中获得的签名串信息进行比对验证,若验证成功且调用接口方法配置正常,则允许调用网络服务接口,将访问记录添加到正常访问日志。否则则判定为非法访问请求,拒绝访问,返回错误信息,并记录相关日志。通过上述方法,能够在调用网络服务接口之前对接口调用请求进行多次验证,达到了提高网络服务的便捷性与安全性的效果。
[0045]在另一些实施例中,还包括预配置流程,所述预配置流程包括步骤S100建立访问账号信息,所述账号信息包括访问账号、访问密码;建立访问账号信息的方式可以是设备发送注册请求进行注册,也可以主动对请求设备进行配置访问账号信息。还包括步骤S102对访问账号进行授权,所述授权包括对访问账号配置访问IP或到期时间参数。通过上述方案,可以有效的对访问请求进行管理,提高了本发明的安全性。
[0046]另一些进一步的实施例中,在步骤“调用网络服务接口 ”前还包括步骤:验证访问账号权限,具体包括步骤S110:判断访问账号是否被授权。是否被授权包括核对其是否有访问该站点的权限、访问IP是否被授权、账号访问是否过期等,如果验证不通过则返回错误信息,并记录相关日志。通过上述步骤,可以防止未授权的访问账号进行访问,也可以防止超过有效期的账号进行访问,达到了提高了本发明的安全性的效果。
[0047]在优选的实施例中,在步骤“调用网络服务接口 ”后还包括步骤S114实时监控动态参数并对所述动态参数进行动态验证,若超过预设的动态参数阈值则拦截网络服务接口调用请求。具体地,所述动态参数包括最大访问量、最大访问频率、调用接口次数或连接失败次数;所述预设动态参数阈值的方法是通过统计汇总后计算确定或通过人工设定。设定了上述参数之后进行实时监控,对于接口调用过程中可能产生的异常都能够及时作出反应。使得网络服务管理方法更加地自动化、便捷化,也同时提高了本发明的安全性。
[0048]在图2所示的某些实施例中,为本发明的一种网络服务安全管理装置,本系统可以运行于管控网络服务接口的服务器端,包括接收模块200、获取模块202、判断模块204、调用模块206和记录添加模块207 ;
[0049]所述接收模块200用于接收接口调用请求;
[0050]所述获取模块202用于从所述接口调用请求中获取访问账号信息和签名串信息;
[0051]所述判断模块204用于判断获取到的访问账号信息与预设的访问账号信息是否匹配,不匹配则判定所述接口调用请求为非法访问请求;匹配则判断获取到的签名串信息是否验证成功,验证不成功则判定所述接口调用请求为非法访问请求,验证成功则使能调用模块和记录添加模块;
[0052]所述调用模块206用于调用网络服务接口 ;所述记录添加模块207用于将访问记录添加到正常访问调用日志。
[0053]在某些具体的实施例中,接收模块200接收接口调用请求,在接收到接口调用请求时将会对所述请求进行自动拦截,分析请求的数据包,通过获取模块202获取soa